Złośliwe oprogramowanie „Tik Tok Pro”
Popularność chińskiej aplikacji TikTok ogarnęła świat i przekształciła go w zjawisko popkulturowe. Jednak po uwagach prezydenta Trumpa, że może nałożyć zakaz na aplikację, przyszłość TikTok w USA jest dość niepewna. Otwiera to doskonałą okazję dla hakerów do wykorzystania strachu użytkowników TikTok przed utratą dostępu do aplikacji w celu dostarczania fałszywych lub jawnie zagrażających aplikacji. Rzeczywiście, analitycy cyberbezpieczeństwa w Zscaler wykryli groźną kampanię, która właśnie to zrobiła.
Początkowo kampania z groźbami wykorzystywała wiadomości SMS i WhatsApp do kierowania użytkowników do rzekomo pobrania najnowszej aktualizacji TikTok dla TikTok hostowanej na prywatnym serwerze pod adresem hxxp: //tiny.cc/TiktokPro. Jednak to, co użytkownicy instalowali na swoich urządzeniach, było w istocie aplikacją adware, która próbuje uzyskać dane uwierzytelniające użytkownika i otrzymać uprawnienia Androida do zalania zainfekowanego urządzenia reklamami.
W późniejszych fazach kampanii hakerzy zastąpili dostarczony ładunek jednym znacznie rozszerzonym zestawem narzędzi o nazwie TikTok Pro Malware. To nowe zagrożenie to w pełni funkcjonalne oprogramowanie szpiegujące, które może wyodrębniać prywatne dane z zainfekowanych urządzeń. Po instalacji zagrożenie złośliwym oprogramowaniem udaje aplikację TikTok, chociaż nazwa używana przez nią to TikTok Pro. Gdy użytkownik go wykona, TikTok Pro Malware wyświetla fałszywe powiadomienie mające na celu odwrócenie uwagi użytkownika, podczas gdy aplikacja zagrażająca ukrywa swoją ikonę i znika z ekranu urządzenia. Inną techniką ochrony przed wykrywaniem wykorzystywaną przez szkodliwe oprogramowanie TikTok Pro jest użycie drugiego ładunku wabika, który nie posiada żadnej funkcjonalności. Fikcyjny ładunek jest przechowywany w katalogu / res / raw / .
TikTok Pro Malware ma unikalne funkcje phishingu Facebooka
TikTok Pro to potężne oprogramowanie szpiegujące, które wykorzystuje usługę Android o nazwie MainService do wykonywania wielu podstępnych działań: zbierania wiadomości SMS i lokalizacji urządzenia, wysyłania wiadomości SMS i inicjowania połączeń telefonicznych, robienia zdjęć i zrzutów ekranu z ekranu urządzenia, wykonywania poleceń i uruchom inne aplikacje itp. Wszystkie zebrane dane są umieszczane w pamięci zewnętrznej w katalogu /DCIM/.dat/ .
Oprócz typowych funkcji występujących w najbardziej wyrafinowanych zagrożeniach typu spyware, TikTok Pro jest wyposażony w unikalną funkcjonalność zbierania danych logowania do Facebooka metodami podobnymi do phishingu. Użytkownikom prezentowana jest fałszywa strona logowania na Facebooku, która natychmiast przechowuje wszelkie wprowadzone do niej dane uwierzytelniające w /storage/0/DCIM/.fdat . Należy zauważyć, że ta sama taktyka może zostać zmodyfikowana, aby łatwo celować w dane logowania do banku lub inne szczegóły. Wszystkie zebrane dane są przesyłane do infrastruktury Command-and-Control (C2) utworzonej przez hakerów.
Bez względu na to, jak zdesperowani byliby użytkownicy, aby uzyskać dostęp do określonej aplikacji, należy pamiętać, że pobranie dowolnej aplikacji z podejrzanego lub podejrzanego źródła jest niezwykle groźne.
